“华为遭监控”事件冷思考_IT采购网

“华为遭监控”事件冷思考

政府采购信息网作者：王莉发布于：2014-03-31 13:05:00 来源：政府采购信息报

　　新闻背景：正在海外避难的美国"棱镜门"主角斯诺登近日向媒体爆料称，自2007年以来，美国国家安全局（以下简称"NSA"）就一直对中国境内目标进行网络监控，在名叫"Shotgiant"的项目中，中国华为公司总部的服务器成为入侵目标。

　　斯诺登对外公布的信息显示，早在7年前，NSA和其他机构就开始入侵位于深圳华为总部的服务器，获取华为高层之间的内部通讯，甚至窃取华为各产品的保密源代码。这项监视项目原始目的是为了寻找华为与军方的关系，但项目随着时间推移，目标不断扩大，其开始研究如何入侵华为出售给第三国的计算机和电话网络。

　　日前，《纽约时报》及德国《明镜周刊》等媒体先后援引斯诺登公开的机密文件报道称，美国国家安全局（以下简称"NSA"）在2007年发起的一项代号为"Shotgiant"的行动计划中，侵入了华为位于深圳总部的主要服务器。

　　信息安全问题又一次摆到了我们的面前。这一次，震惊之余，我们希望通过对监听情况的分析，唤醒政府部门和国内企业的信息安全意识，从采购源头入手，全面深入地加强政务信息安全。

　　后门≠漏洞

　　从报道的情况看，此次安全问题涉及到服务器、路由器以及光纤网等硬件设备，直指网络相关硬件产品。报道称，"NSA潜入华为公司的主服务器，获取华为路由器及其他硬件的工作信息"。

　　某ICT企业网络设备研发部赵姓经理告诉《政府采购信息报》记者："硬件设备只是关系网络信息安全的一个可能因素，相关网络环境中的应用软件也可能透过病毒或者植入程序成为外界入侵的'后门'。"

　　更多的报道还指出，"NSA的黑客精英团队--'特定入侵行动办公室'直接在华为的网络中植入自己的后门，甚至可以窃取到源代码"。这里所说的"后门"是指后门程序，具体为那些绕过安全性控制而获取对程序或系统访问权的程序方法。

　　那么，"后门"是否有必要存在呢？记者了解到，在软件开发阶段，程序员常常会在软件内创建后门程序，以便修改程序设计中的缺陷。同理，相关载有后门程序的网络设备在所应用的网络环境中可以帮助网络维护人员及时发现网络漏洞问题并调试。

　　"后门在研发阶段和后期网络维护阶段都有着一定的存在必要。"赵经理告诉记者："然而，厂家有必要在向客户提供产品时告知客户后门程序的存在，并由客户决定是否保留后门程序。"

　　既然"后门"不等于漏洞，是一把双刃剑。对于政府部门而言，该如何应对"后门"呢？

　　加强软硬件采购标准化

　　"希望这次事件能够再次唤起更多人对信息安全的重视。"华为企业业务MKT&&解决方案部相关负责人在接受记者电话采访时表示。

　　业内人士一致认为，除了增强安全意识外，政府部门更应当针对"后门"问题展开调研，严把各个机密部门软硬件中的"后门"。一方面，严查相关业务部门软硬件中的"后门"，加强定期检查、防护；另一方面，对于正在实施和将要实施的网络设备采购、系统软件、应用软件等软硬件采购项目做好前期的标准化论证工作。

　　首先，严格网络硬件设备准入程序，加速对于硬件设备采购的需求标准化工作。加强信息安全问题不应停留在意识层面，更应该形成一套具体可行方案，对政府采购来说，加速对于网络硬件设备采购相关配置标准化工作刻不容缓。其次，规范各个系统软件及相关配套应用软件的研发工作。随着国家信息化建设的深入发展，服务型政府以及政务信息公开对于各个部门的信息化要求逐年提高。然而，随着信息系统建设的工程日渐繁杂，信息化安全问题也应当随着提升安全等级。

　　安全等级必须提高

　　据悉，NSA的"Shotgiant"行动旨在通过监控华为高管的通讯，探查华为与中国军方是否有关，还试图透过寻找华为产品的技术漏洞，监控使用华为产品的其他国家。这也是继Facebook、谷歌、思科、IBM、HP等被NSA监听曝光后，NSA被曝光的又一次监听事件。

　　奥巴马近日在海牙回应指出，美国不从事旨在获得商业利益的间谍活动，不与美国公司分享收集得来的情报。然而，从去年斯诺登事件爆发，到现在明确涉及中国，信息安全已经不单是个别的企业的个性问题。国内专家纷纷呼吁，中国应该基于本国核心基础，建立自己的互联网安全体系，同时提高政务信息安全的等级。

　　以政务信息安全问题为核心，网络信息安全问题应该成为国家层面高度重视的国家安全问题。随着中央网络安全和信息化领导小组的成立，我们期待看到从政府采购源头上解决政务信息安全问题的坚决态度与有力改革。

　　相关链接

　　何谓信息安全等级保护

　　信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息安全等级保护是对信息系统分等级进行安全保护和监管，对信息安全产品的使用实行分等级管理，信息安全事件实行分等级响应、处置的制度。

　　信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上的信息安全等级保护指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。

　　信息安全等级分为五级

　　《信息安全等级保护信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民和其他组织的合法权益的危害程度等确定。信息系统的安全保护等级分为五级：

　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

　　原标题：从采购源头入手提高信息安全等级

本网发布内容凡注明来源为政府采购信息网/政府采购信息报的，表明“政府采购信息网/政府采购信息报”拥有其版权或已获得授权，内容形式包括但不限于文字、图片、音频、视频等。如需转载请注明来源于政府采购信息网/政府采购信息报，标注作者，并保持文章的完整性。否则，将追究法律责任。

其他来源稿件，本网已标明出处及作者，转载仅为信息分享，如涉及版权等问题，请相关权益人及时与我们联系。

上一篇：LG樊元锐：屏幕更大缝隙更小

下一篇：明基许斌：坚持品质软硬结合